Lỗ hổng nghiêm trọng trên FortiWeb cho phép tin tặc chiếm toàn quyền kiểm soát

Các chuyên gia cảnh báo về lỗ hổng nghiêm trọng trong Fortinet FortiWeb, cho phép tin tặc chiếm quyền quản trị mà không cần xác thực. Lỗ hổng này đã bị khai thác ngoài thực tế trước khi bản vá được công bố, làm tăng nguy cơ xâm nhập sâu vào hệ thống backend của các nạn nhân.

Cảnh báo ban đầu đến từ watchTowr, khi nhóm này quan sát thấy các cuộc tấn công diện rộng nhắm vào các phiên bản FortiWeb chưa được nâng cấp lên 8.0.2. Điều đáng lo là kẻ tấn công không cần kỹ thuật phức tạp mà chỉ tập trung tạo tài khoản quản trị mới để giữ quyền kiểm soát thiết bị. Khi các nhà nghiên cứu tái tạo hoàn chỉnh lỗ hổng, công bố PoC và cả công cụ tạo payload, mức độ rủi ro đã được chứng thực rõ ràng. Trên các thiết bị bị xâm nhập, nhiều tài khoản quản trị lạ như Testpoint hay trader1 đồng loạt xuất hiện, cho thấy đây là chuỗi tấn công được triển khai có hệ thống thay vì những sự cố đơn lẻ.

Phân tích kỹ thuật cho thấy lỗ hổng xuất phát từ hai điểm yếu tồn tại cùng lúc và khi kết hợp lại đã mở ra một đường tấn công rất dễ khai thác. Điểm yếu đầu tiên là path traversal trong HTTP request. Lỗi này cho phép kẻ tấn công đi xuyên qua cấu trúc thư mục và truy cập fwbcgi, một thành phần lẽ ra không thể chạm tới từ bên ngoài. Bên cạnh đó, trường CGIINFO trong header lại có khả năng vượt qua cơ chế xác thực bằng cách chứa một đoạn JSON được mã hóa Base64, qua đó mô phỏng thông tin của bất kỳ người dùng nào.

Khi fwbcgi giải mã giá trị này và đọc bốn thuộc tính username, profname, vdom và loginname, nó chấp nhận các giá trị trùng với tài khoản admin như một danh tính hợp lệ mà không cần thêm kiểm tra. Bốn trường này luôn cố định giữa các thiết bị, vì vậy chỉ cần gửi đúng cấu trúc JSON, kẻ tấn công có thể hành động với toàn quyền quản trị, bao gồm việc tạo tài khoản mới, thay đổi cấu hình hoặc chạy các lệnh quan trọng trong hệ thống.

Sự kết hợp của hai lỗi, một cho phép tiếp cận fwbcgi và một cho phép mạo danh admin, khiến quá trình khai thác trở nên đơn giản bất thường. Chỉ cần một yêu cầu HTTP được dựng đúng cách, kẻ tấn công đã có thể chiếm toàn bộ quyền điều khiển thiết bị mà không gặp bất kỳ rào cản nào.

Trong khi cộng đồng an ninh mạng nỗ lực truy tìm nguồn gốc vụ việc, Rapid7 phát hiện một khai thác zero-day nhắm vào FortiWeb được rao bán trên diễn đàn ngầm vào ngày 6 tháng 11. Mặc dù chưa thể xác nhận đây có phải chính là lỗ hổng đang bị khai thác hay không, sự trùng thời gian cho thấy tin tặc đã hiểu rõ cơ chế tấn công từ rất sớm. Việc khai thác ngoài thực tế được ghi nhận từ đầu tháng trước càng củng cố nhận định rằng nhiều hệ thống đã bị xâm nhập trước khi bất kỳ cảnh báo chính thức nào được đưa ra.

Sau đó không lâu, Fortinet xác nhận vấn đề với mã định danh CVE-2025-64446 và đánh giá mức độ nghiêm trọng ở mức 9.1 theo thang CVSS. Các phiên bản bị ảnh hưởng gồm:

8.0.0 - 8.0.1 nâng cấp lên 8.0.2
7.6.0 - 7.6.4 nâng cấp lên 7.6.5
7.4.0 - 7.4.9 nâng cấp lên 7.4.10
7.2.0 - 7.2.11 nâng cấp lên 7.2.12

Để giảm thiểu rủi ro từ lỗ hổng, các tổ chức/doanh nghiệp được khuyến cáo:

- Vô hiệu hóa giao diện quản trị HTTP và HTTPS hướng Internet cho đến khi cập nhật hoàn tất

- Kiểm tra log, rà soát cấu hình và phát hiện mọi tài khoản quản trị bất thường

- Triển khai bản vá ngay lập tức để đảm bảo an toàn

- Hạn chế quyền truy cập giao diện quản trị HTTP/HTTPS chỉ trong mạng nội bộ

Tuy nhiên, cách Fortinet xử lý tiếp tục làm dấy lên tranh luận. VulnCheck cho rằng việc âm thầm vá lỗ hổng mà không công bố kịp thời khiến đội ngũ phòng thủ khó phản ứng, trong khi kẻ tấn công có thời gian khai thác thoải mái. Quan điểm này được nhiều chuyên gia đồng tình vì FortiWeb từng nhiều lần trở thành mục tiêu tấn công và việc thiếu minh bạch chỉ làm tăng rủi ro cho người dùng cuối.